הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד BankBot RAT

BankBot RAT

עד Mezo ב-תוכנה זדונית לנייד, כלי ניהול מרחוק
לתרגם ל:

BankBot הוא טרויאני רב עוצמה לגישה מרחוק באנדרואיד, אשר לאחר התקנתו יכול להשתלט על שליטה נרחבת במכשיר. הוא ממנף את תכונות הנגישות של אנדרואיד כדי להעלות הרשאות, להפוך פעולות בממשק המשתמש לאוטומטיות, לאסוף מידע רגיש ולבצע פעולות לא מורשות שעלולות להוביל להונאה פיננסית, גניבת זהות ופריסת תוכנות זדוניות. כל זיהום שאושר דורש תיקון מיידי.

התגנבות ופרופיל מכשירים

BankBot נמנע באופן פעיל מניתוח ומתמקד רק בסביבות נבחרות. הוא מבצע בדיקות אמולטור ו-sandbox, בודק תכונות מכשירים (יצרן, דגם, ROM) ומתאים את התנהגותו כך שיפעל על מכשירים אמיתיים נבחרים תוך שהוא נשאר רדום או חמקמק בסביבות מעבדה. התוכנה הזדונית אוספת ורושמת גם טלמטריה של מכשירים - גרסת אנדרואיד וגרסה, מותג ודגם, יצרן, מזהי חומרה וגרסה ושם מוצר - כדי ליצור פרופיל של יעדים ולדלג על מכשירים שאינם נתמכים.

השגת שליטה: ניצול לרעה של נגישות והתמדה שקטה

טקטיקה מרכזית היא ניצול לרעה של שירותי נגישות. BankBot יכול לפתוח את הגדרות הנגישות ולהנדס חברתית את המשתמש כך שיאפשר שירות נגישות זדוני; עם הרשאה זו, הוא יכול להפוך לחיצות לאוטומטיות, להזין טקסט, לאפשר הרשאות אחרות ולבצע פעולות ללא הסכמת המשתמש. הוא יכול גם לקבל הרשאות מנהל מערכת. כדי לשרוד אתחול מחדש ולשמור על גישה לטווח ארוך, התוכנה הזדונית מתזמנת משימה חוזרת (בערך כל 30 שניות) הדורשת קישוריות רשת ונמשכת גם לאחר אתחול מחדש של המכשיר.

יכולות - מה ש-BankBot יכול לעשות

מערך התכונות של BankBot מעניק לו שליטה כמעט מלאה על טלפון נגוע. יכולות עיקריות כוללות: השתקת שמע המערכת כדי לדכא התראות (צלצולים, התראות, מדיה), הצגת הנחיות מזויפות במסך מלא (לדוגמה, 'אימות מידע אישי') כדי להסיח את דעתם של הקורבנות בזמן שהוא מפעיל הרשאות, והפעלה שקטה של שירותים ומצב מנהל. הוא יכול לפתוח או לסגור אפליקציות באופן תכנותי, לרענן מסכים, לדמות נגיעות והחלקות, לפתוח את המסך, לשלוט בהעברת שיחות, לשלוח הודעות SMS, להתקין או להסיר קבצי APK, להוריד קבצים, לצלם תמונות וצילומי מסך, להסתיר חלונות ולהגדיר טקסט בשדות קלט. התוכנה הזדונית יכולה גם לקרוא את הלוח של אנדרואיד ולחלץ את תוכנו - לחשוף סיסמאות, ביטויי זרע וסודות אחרים - והיא לוכדת אנשי קשר, SMS, רשימות אפליקציות מותקנות, מצב מכשירים ומיקום גיאוגרפי.

מיקוד בבנקאות ובקריפטו - אילו אפליקציות נמצאות בסיכון

BankBot מקבל הוראות משרת פקודה ובקרה המספק רשימה של אפליקציות פיננסיות ובנקאיות למטרות גניבת אישורים או עסקאות הונאה. הוא גם מכוון באופן ספציפי לארנקי מטבעות קריפטוגרפיים רבים על ידי אוטומציה של ממשקי משתמש של אפליקציות ארנק דרך Accessibility כדי לקרוא פריטים רגישים כגון ביטויי זרע, מפתחות פרטיים או פרטי עסקה. דוגמאות למטרות ארנק שנצפו כוללות:

  • AUTOS, ביטקוין, BitKeep, ארנק בלוקצ'יין, ארנק סופר Coin98, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (ארנק קריפטו Ethereum), TokenPocket, ארנק Trust, Valor.

טכניקות הטעיה והתחזות אפליקציות

כדי להפחית חשד, BankBot יכול לשנות את הסמל והשם שלו כדי להתחזות לשירותים לגיטימיים (לדוגמה, להציג את עצמו כ-Google News) ולאחר מכן לפתוח תוכן אינטרנט שנראה אמין בתוך WebView. שינויים קוסמטיים אלה, בשילוב עם הנחיות מזויפות דמויות reCAPTCHA או דיאלוגים לאימות במסך מלא, משמשים כדי להערים על משתמשים להעניק הרשאות או לקיים אינטראקציה עם האפליקציה בזמן שפעולות זדוניות פועלות ברקע.

כיצד משתמשים בדרך כלל נוחתים ב-BankBot

במקרים רבים, קורבנות מתקינים את BankBot בעצמם לאחר שהוטעו. דרכי הדבקה נפוצות כוללות:

  • טעינת קבצי APK מאתרים הנשלטים על ידי תוקפים או מחנויות צד שלישי.
  • אפליקציות מזויפות או זדוניות המופצות דרך מאגרי אפליקציות לא מהימנים.
  • התקנות או הורדות מהירות ממודעות וחלונות קופצים מטעים באתרים מפוקפקים.
  • קישורים ב-SMS, אפליקציות העברת הודעות או הודעות דוא"ל של פישינג.

הנדסה חברתית היא מרכזית להפצה: פושעים יוצרים פיתיונות משכנעים כדי לשכנע משתמשים להוריד ולהפעיל את התוכנה הזדונית.

סיכונים והשפעה צפויה

מכשיר נגוע עלול לסבול מהשתלטות על חשבונות, עסקאות פיננסיות לא מורשות, גניבת זהויות ואובדן פרטיות. השילוב של ניצול לרעה של נגישות, שמירה על פרופילים שקטים, יצירת פרופילים של מכשירים והתקפות ממוקדות נגד אפליקציות בנקאיות וקריפטו הופך את BankBot למסוכן במיוחד עבור משתמשים עם אפליקציות פיננסיות או ארנקי קריפטו בטלפונים שלהם.

צעדי בלימה והתאוששות מיידיים

  • ביטול הרשאות חשודות: הסרת הרשאות נגישות והתראות עבור אפליקציות לא ידועות וביטול הרשאות של מנהל המכשיר.
  • הסר את התקנת האפליקציה/ות הזדונית והרץ סריקה מלאה באמצעות מוצר אבטחה נייד בעל מוניטין.
  • שנה סיסמאות והפעל אימות רב-גורמי עבור חשבונות פיננסיים וכל שירות המשמש במכשיר - עשו זאת ממכשיר נקי.
  • צרו קשר עם בנקים או ספקי ארנקים אם אתם חושדים בפעילות הונאה ועקוב אחר חשבונות לאיתור עסקאות לא מורשות.
  • אם נחשפו ביטויי זרע או מפתחות פרטיים, יש להעביר כספים לכתובות ארנק חדשות שמפתחותיהן נוצרו במכשיר נקי.

מְנִיעָה

שמרו על מערכת ההפעלה והאפליקציות של המכשיר מעודכנות, הימנעו מהורדת קבצי APK או התקנת אפליקציות ממקורות לא מהימנים, השבתו התקנה אוטומטית ממקורות לא ידועים, היו חשדניים כלפי הנחיות המבקשות מכם להפעיל תכונות נגישות או ניהול מכשיר, והשתמשו במוצר אבטחה נייד אמין שיכול לזהות ולהסיר סוסים טרויאניים ותוכנות פרסום. חנכו משתמשים ועובדים לגבי טקטיקות הנדסה חברתית המאפשרות הורדה והענקת הרשאות.

סיכום - התייחסו ל-BankBot כבעל סיכון גבוה

BankBot הוא תוכנת RAT אנדרואיד חמקנית ועשירות בתכונות, המשלבת שימוש לרעה בנגישות, בדיקות סביבה, משימות מתוזמנות מתמשכות, אוטומציה של ממשק משתמש וגניבה ממוקדת של נכסי בנקאות וקריפטו. בשל הפוטנציאל שלו לפגיעה כלכלית חמורה ולפגיעה בפרטיות, יש להתייחס לכל חשד לזיהום כדחיף: הסר את התוכנה הזדונית, אבטח חשבונות ממכשיר נקי, ונקט בצעדים המונעים הנ"ל כדי להפחית חשיפה עתידית.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
32,906
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...